Бесплатно Экспресс-аудит сайта:

05.12.2023

Лаборатория Касперского: прокси-вирус превращает Mac в инструмент нелегального трафика

Лаборатория Касперского сообщает, что киберпреступники развернули новую кампанию против пользователей Mac, используя прокси-троян , который распространяется через защищенные авторским правом популярные программы для macOS , доступные на вредоносных сайтах. Прокси-троян превращает компьютеры в терминалы переадресации трафика, которые используются для анонимизации вредоносных или незаконных действий, таких как взлом, фишинг и транзакции с незаконными товарами.

Подобная деятельность, связанная с продажей доступа к прокси-серверам, породила крупные ботнеты. Причем, как подчеркивает Лаборатория Касперского, устройства Mac также оказались в числе пострадавших. Обнаруженная кампания, первое упоминание о которой появилось 28 апреля 2023 года, эксплуатирует стремление пользователей сэкономить на покупке лицензионного ПО.

Лаборатория Касперского обнаружила 35 заражённых программ, среди которых популярные инструменты для редактирования изображений, видео, восстановления данных и сетевого сканирования.

Важно отметить, что в отличие от оригинальных программ, распространяемых в виде образов дисков, зараженные версии предлагаются в формате PKG. Этот формат представляет собой большую опасность, поскольку позволяет выполнять скрипты во время установки, что может привести к несанкционированному доступу и изменениям в системе.

Особенно опасно, что такие скрипты, как и файлы установщика, запускаются с правами администратора. Доступ такого уровня позволяет злоумышленнику проводить вредоносные действия, включая изменения файлов, автозапуск файлов и выполнение команд.

После установки зараженной программы активируется троян, который маскируется под процесс WindowServer – легитимный системный процесс macOS. Такое действие позволяет трояну оставаться незаметным, интегрируясь в рутинные операции системы.

Запускаемый файл «GoogleHelperUpdater.plist», имитирующий файл конфигурации Google, также способствует скрытности вируса. После активации троян устанавливает связь со своим сервером управления и контроля (Command and Control, C2 ) через DNS-over-HTTPS ( DoH ), получая команды для своей работы. Анализ Лаборатории Касперского показал, что вирус может создавать TCP или UDP соединения, обеспечивая проксирование трафика.

Помимо кампании macOS с использованием PKG, в одной и той же инфраструктуре управления размещаются прокси-трояны для архитектур Android и Windows, поэтому одни и те же операторы, вероятно, нацелены на широкий спектр систем.